On 2023-11-12, Robert Tomasik <r...@g...pl> wrote:
> W dniu 12.11.2023 o 00:16, Marcin Debowski pisze:
>
>>>> Autopsy, którą wcześniej wymieniłeś, Ty tego używasz pod windows? To ma
>>>> tam gui oparte na przeglądarce www?
>>>> Przyglądam się wersji pod Linuksa i co to potrafi na prostym modelowym
>>>> obrazie systemu plików, i wynika mi, że chyba niewiele bez dodatkowych
>>>> pluginów? Utworzyłem wolumen ext4, naładowałem tam zdjęć w strukturach
>>>> folderów, skasowałem wszystko... widzi skasowane pliki/foldery (jako
>>>> wejścia/nody), ale nawet nie potrafi określić ich wielkości (pokazuje 0
>>>> size) o wyświetleniu zawartości nie wspominając.
>>> Te pluginy są podstawą właśnie. Samo AUTOPSY w sumie nic nie potrafi.
>> No to się chyba nie pobawie.
>>
> Teraz mam więcej czasu na odpisanie. Samo AUTOPSY nie odzyska Ci danych.
> Ono może wspomóc ich analizę. Być może są lepsze sposoby, ale ja zawsze
> staram się sprowadzić materiał dowodowy do obrazu dysku, czyli formatu
> EnCase Image File. Jest trochę darmowych programów do tego. Są
> komercyjne. Jak jest bardzo źle, to jeszcze bywa, że szukam w zasobach
> producenta danego konkretnego producenta. Mamy pewność co do tego, że
> nikt nic nie zmienia. Każdy później może po swojemu analizować.

Obraz dysku jest podstawą czy to na poziomie forensic i dowodowym czy w
przypadku odzyskiwania danych. Jak pada dysk a z jakiegoś powodu nie ma
się kopii to również tworzy się taki obraz i na nim prowadzi odzysk.
Robi się to dlatego, że praca z uszkodzonym dyskiem na ogół zwiększa
prawdopdoobieństwo jego dalszych uszkodzeń więc i zmniejsza szanse na
odzysk. Pod linuksem jest taki mądry program nazywający się ddrescue.
Działa on tak, że tworzy obraz dysku w kilku etapach, gdzie w
początkowym etapie wcale nie stara się na siłę odczytać uszkodzonych
sketorów a kopiuje co nie daje błędów odczytu. W dlaszych podejściach
stara się coraz intensywniej czytać sektory z błędami.

> Teraz taki obraz podpinasz do AUTOPSY i są następujące możliwości:

No ja dla prób stworzyłem taki modelowy obraz. Autopsy go widzi, ale
próby analizy plików w tym obrazów kończą się błędem. Nie wnikając w
szcezgóły, wygląda jakby cos mi tam brakowało (odwołuje się do czegoś
czego nie ma).

> 1) Zdjęcia mają dane o czasie zapisu, więc możesz je wrzucić na oś czasu
> (to jest w podstawowej wersji). Na osi czasu wyszukujesz sobie klatki
> (albo filmiki), które mogą mieć związek ze zdarzeniem. O ile wiesz,
> kiedy działo sie to, co Cię interesuje. AUTOPSY pozwala na wyprowadzenie
> tych konkretny7ch materiałów do osobnego katalogu, by potem analizować
> to tymi narzędziami, co niżej.

Widze po opcjach, że może, ale u mnie się na razie nie daje :)

> 4) Jak to nie przyniesie rezultatu, to wyciągnięte z obrazu klatki, albo
> te klatki wyżej obrabiam takim programem AGH, co się BIOWIZ nazywa. On
> wyciąga z filmików i zdjęć klatki i grupuje twarzami. Strasznie to długo
> trwa i trochę ręcznego rzeźbienia, ale wyniki fajne wychodzą.

No to już bardziej w Twojej dziedzinie, choć grupowanie po twarzach
brzmi intersująco. Możnaby napisac sktypt tagujący odpowiednio zdjęcia.

--
Marcin